Tech Insights

WordfenceがWordPress複数プラグインの任意ファイルアップロード脆弱性CVE-2...

2025年5月13日

Wordfenceは2025年5月2日、G5Theme社のBenaa、April、Beyot、Auteur Frameworkなど複数のWordPressプラグインとテーマに影響する任意ファイルアップロード脆弱性CVE-2024-13418を公開した。Subscriber以上の権限を持つ攻撃者が任意のファイルをアップロードし、リモートコード実行が可能になる危険性がある。迅速なアップデートとセキュリティ対策が求められる。

WordfenceがWordPress複数プラグインの任意ファイルアップロード脆弱性CVE-2...

2025年5月13日

Wordfenceは2025年5月2日、G5Theme社のBenaa、April、Beyot、Auteur Frameworkなど複数のWordPressプラグインとテーマに影響する任意ファイルアップロード脆弱性CVE-2024-13418を公開した。Subscriber以上の権限を持つ攻撃者が任意のファイルをアップロードし、リモートコード実行が可能になる危険性がある。迅速なアップデートとセキュリティ対策が求められる。

【CVE-2025-28017】TOTOLINK A800R V4.1.2cu.5032にコマ...

2025年5月9日

MITRE CorporationはTOTOLINK A800R V4.1.2cu.5032_B20200408に存在するコマンドインジェクションの脆弱性を公開した。downloadFile.cgiのQUERY_STRINGパラメータを介した攻撃が可能で、CVSSスコア6.5のMEDIUMレベル。認証不要でネットワーク経由の攻撃が可能なため、早急な対策が求められる。CWE-77に分類される特殊文字の不適切な無効化が原因となっている。

【CVE-2025-28017】TOTOLINK A800R V4.1.2cu.5032にコマ...

2025年5月9日

MITRE CorporationはTOTOLINK A800R V4.1.2cu.5032_B20200408に存在するコマンドインジェクションの脆弱性を公開した。downloadFile.cgiのQUERY_STRINGパラメータを介した攻撃が可能で、CVSSスコア6.5のMEDIUMレベル。認証不要でネットワーク経由の攻撃が可能なため、早急な対策が求められる。CWE-77に分類される特殊文字の不適切な無効化が原因となっている。

ビットフォレストのLoggolがボット検知機能をリリース、Webサイトのアクセス状況の可視化に...

2025年5月8日

株式会社ビットフォレストは、Web攻撃ログ分析ツールLoggolに新機能「ボット検知機能」を2025年5月7日にリリースした。この機能により、Webサイトに対するボットのアクセス状況を可視化し、悪意あるボットや不要なクローラーによるアクセスの実態把握が可能になり、セキュリティ対策の強化や運用コストの最適化にもつながる。調査では対象サイトの最大87%がボットアクセスであることが判明した。

ビットフォレストのLoggolがボット検知機能をリリース、Webサイトのアクセス状況の可視化に...

2025年5月8日

株式会社ビットフォレストは、Web攻撃ログ分析ツールLoggolに新機能「ボット検知機能」を2025年5月7日にリリースした。この機能により、Webサイトに対するボットのアクセス状況を可視化し、悪意あるボットや不要なクローラーによるアクセスの実態把握が可能になり、セキュリティ対策の強化や運用コストの最適化にもつながる。調査では対象サイトの最大87%がボットアクセスであることが判明した。

バッファローがキキNaviの機能拡張を発表、法人向けルーターVR-Uシリーズの一括設定が可能に

2025年5月5日

株式会社バッファローは2025年5月1日、リモート管理サービス「キキNavi」において法人向けルーター「VR-U」シリーズの一括設定変更機能を実現するファームウェアアップデートを2025年秋頃に公開すると発表した。CLIコマンドによる設定の一括変更やデバイス情報のCSV出力に対応し、多店舗展開する企業のネットワーク管理者の作業効率が向上する。

バッファローがキキNaviの機能拡張を発表、法人向けルーターVR-Uシリーズの一括設定が可能に

2025年5月5日

株式会社バッファローは2025年5月1日、リモート管理サービス「キキNavi」において法人向けルーター「VR-U」シリーズの一括設定変更機能を実現するファームウェアアップデートを2025年秋頃に公開すると発表した。CLIコマンドによる設定の一括変更やデバイス情報のCSV出力に対応し、多店舗展開する企業のネットワーク管理者の作業効率が向上する。

【CVE-2025-3691】Seven Bears Library CMS 2023にSSR...

2025年4月30日

mirweiye社のSeven Bears Library CMS 2023にServer-Side Request Forgery（SSRF）の脆弱性が発見され、CVE-2025-3691として公開された。Add Link Handler機能に存在するこの脆弱性は、CVSSスコア5.1（MEDIUM）を記録。高い特権レベルを必要とするものの、リモートからの攻撃が可能で、既に攻撃コードが公開されている状態だ。

【CVE-2025-3691】Seven Bears Library CMS 2023にSSR...

2025年4月30日

mirweiye社のSeven Bears Library CMS 2023にServer-Side Request Forgery（SSRF）の脆弱性が発見され、CVE-2025-3691として公開された。Add Link Handler機能に存在するこの脆弱性は、CVSSスコア5.1（MEDIUM）を記録。高い特権レベルを必要とするものの、リモートからの攻撃が可能で、既に攻撃コードが公開されている状態だ。

【CVE-2025-29457】MyBB 1.8.38のテーマインポート機能に脆弱性、情報漏洩...

2025年4月30日

MyBB 1.8.38のテーマインポート機能において、リモートの攻撃者が機密情報を取得できる脆弱性が発見された。CVE-2025-29457として報告されたこの脆弱性は、CVSSスコア7.6のHIGH評価とされ、Server-Side Request Forgery（SSRF）の危険性が指摘されている。開発元は既存の対策で十分としているが、セキュリティコミュニティからは更なる対策の必要性が示唆されている。

【CVE-2025-29457】MyBB 1.8.38のテーマインポート機能に脆弱性、情報漏洩...

2025年4月30日

MyBB 1.8.38のテーマインポート機能において、リモートの攻撃者が機密情報を取得できる脆弱性が発見された。CVE-2025-29457として報告されたこの脆弱性は、CVSSスコア7.6のHIGH評価とされ、Server-Side Request Forgery（SSRF）の危険性が指摘されている。開発元は既存の対策で十分としているが、セキュリティコミュニティからは更なる対策の必要性が示唆されている。

Citadel AIが次世代AIファイアウォールを提供開始、ユースケースに応じた高精度フィルタ...

2025年4月26日

株式会社Citadel AIは2025年4月25日、生成AIの入出力を高精度で自動フィルタリングする「Lensカスタムファイアウォール」の提供を開始した。独自技術「Metric Generator」によるカスタムメトリクスの自動作成機能を搭載し、業務特性に応じた柔軟な制御を実現。AIセキュリティリスクやレピュテーションリスクから企業を保護し、経営基盤の強化をサポートする。

Citadel AIが次世代AIファイアウォールを提供開始、ユースケースに応じた高精度フィルタ...

2025年4月26日

株式会社Citadel AIは2025年4月25日、生成AIの入出力を高精度で自動フィルタリングする「Lensカスタムファイアウォール」の提供を開始した。独自技術「Metric Generator」によるカスタムメトリクスの自動作成機能を搭載し、業務特性に応じた柔軟な制御を実現。AIセキュリティリスクやレピュテーションリスクから企業を保護し、経営基盤の強化をサポートする。

【CVE-2025-3664】TOTOLINK A3700Rにアクセス制御の脆弱性、リモート攻...

2025年4月24日

TOTOLINK A3700R 9.1.2u.5822_B20200513のsetWiFiEasyGuestCfg機能に重大な脆弱性が発見された。不適切なアクセス制御により、リモートからの攻撃が可能な状態となっている。CVSSスコアは6.9を記録し、攻撃コードも公開されているが、ベンダーからの対応は得られていない。ユーザーには独自の防御対策が求められる状況だ。

【CVE-2025-3664】TOTOLINK A3700Rにアクセス制御の脆弱性、リモート攻...

2025年4月24日

TOTOLINK A3700R 9.1.2u.5822_B20200513のsetWiFiEasyGuestCfg機能に重大な脆弱性が発見された。不適切なアクセス制御により、リモートからの攻撃が可能な状態となっている。CVSSスコアは6.9を記録し、攻撃コードも公開されているが、ベンダーからの対応は得られていない。ユーザーには独自の防御対策が求められる状況だ。

【CVE-2025-32358】Zammad 6.4.xでSSRF脆弱性が発見、管理者権限での...

2025年4月18日

MITREが2025年4月5日に公開したZammad 6.4.xの脆弱性情報によると、管理者権限を持つユーザーがWebhookを設定した際にSSRFが発生する可能性が判明した。CVSSスコア4.0（MEDIUM）と評価されたこの脆弱性は、リダイレクトレスポンスを介して内部ネットワークへの不正アクセスを引き起こす可能性がある。Zammadは6.4.2でセキュリティアップデートを提供し、影響を受けるバージョンを使用している組織に早急な対応を呼びかけている。

【CVE-2025-32358】Zammad 6.4.xでSSRF脆弱性が発見、管理者権限での...

2025年4月18日

MITREが2025年4月5日に公開したZammad 6.4.xの脆弱性情報によると、管理者権限を持つユーザーがWebhookを設定した際にSSRFが発生する可能性が判明した。CVSSスコア4.0（MEDIUM）と評価されたこの脆弱性は、リダイレクトレスポンスを介して内部ネットワークへの不正アクセスを引き起こす可能性がある。Zammadは6.4.2でセキュリティアップデートを提供し、影響を受けるバージョンを使用している組織に早急な対応を呼びかけている。

【CVE-2025-3171】Project Worlds Online Lawyer Man...

2025年4月16日

Project Worlds社のOnline Lawyer Management System 1.0において、approve_lawyer.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3171として識別されるこの脆弱性は、unblock_idパラメータの操作により引き起こされ、リモートから攻撃可能。CVSS v4.0で6.9（MEDIUM）、v3.1で7.3（HIGH）のスコアが付与され、既に攻撃コードが公開されている状況だ。

【CVE-2025-3171】Project Worlds Online Lawyer Man...

2025年4月16日

Project Worlds社のOnline Lawyer Management System 1.0において、approve_lawyer.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3171として識別されるこの脆弱性は、unblock_idパラメータの操作により引き起こされ、リモートから攻撃可能。CVSS v4.0で6.9（MEDIUM）、v3.1で7.3（HIGH）のスコアが付与され、既に攻撃コードが公開されている状況だ。

【CVE-2025-2927】ESAFENET CDG 5.6.3にSQLインジェクションの脆...

2025年4月16日

ESAFENET CDG 5.6.3.154.205において、getFileTypeList.jspファイルのtypename引数にSQLインジェクションの脆弱性が発見された。CVSSスコアは最新のバージョン4.0で6.9（MEDIUM）、3.1では7.3（HIGH）と評価されており、リモートからの攻撃が可能で特別な権限も必要としない。脆弱性は一般に公開されており、早急な対策が求められる状況だ。

【CVE-2025-2927】ESAFENET CDG 5.6.3にSQLインジェクションの脆...

2025年4月16日

ESAFENET CDG 5.6.3.154.205において、getFileTypeList.jspファイルのtypename引数にSQLインジェクションの脆弱性が発見された。CVSSスコアは最新のバージョン4.0で6.9（MEDIUM）、3.1では7.3（HIGH）と評価されており、リモートからの攻撃が可能で特別な権限も必要としない。脆弱性は一般に公開されており、早急な対策が求められる状況だ。

【CVE-2025-31183】AppleのmacOS、iOS、iPadOS、tvOSに深刻な...

2025年4月16日

Appleは2025年3月31日、複数のOSに影響を与える重大な脆弱性【CVE-2025-31183】を公開した。この脆弱性により、アプリケーションが機密ユーザーデータに不正アクセスできる可能性が判明。CVSSスコア9.8のCriticalレベルと評価され、特別な権限なしでネットワーク経由の攻撃が可能。各OSの最新バージョンへのアップデートで対策可能。

【CVE-2025-31183】AppleのmacOS、iOS、iPadOS、tvOSに深刻な...

2025年4月16日

Appleは2025年3月31日、複数のOSに影響を与える重大な脆弱性【CVE-2025-31183】を公開した。この脆弱性により、アプリケーションが機密ユーザーデータに不正アクセスできる可能性が判明。CVSSスコア9.8のCriticalレベルと評価され、特別な権限なしでネットワーク経由の攻撃が可能。各OSの最新バージョンへのアップデートで対策可能。

エフェメラルポートとは？意味をわかりやすく簡単に解説

2025年4月13日

エフェメラルポートの意味をわかりやすく簡単に解説しています。「エフェメラルポート」とは？と検索している方は、ぜひこの記事を参考にしてください。

エフェメラルポートとは？意味をわかりやすく簡単に解説

2025年4月13日

エフェメラルポートの意味をわかりやすく簡単に解説しています。「エフェメラルポート」とは？と検索している方は、ぜひこの記事を参考にしてください。

エクストラネットとは？意味をわかりやすく簡単に解説

2025年4月13日

エクストラネットの意味をわかりやすく簡単に解説しています。「エクストラネット」とは？と検索している方は、ぜひこの記事を参考にしてください。

エクストラネットとは？意味をわかりやすく簡単に解説

2025年4月13日

エクストラネットの意味をわかりやすく簡単に解説しています。「エクストラネット」とは？と検索している方は、ぜひこの記事を参考にしてください。

インハウスデータベースとは？意味をわかりやすく簡単に解説

2025年4月13日

インハウスデータベースの意味をわかりやすく簡単に解説しています。「インハウスデータベース」とは？と検索している方は、ぜひこの記事を参考にしてください。

インハウスデータベースとは？意味をわかりやすく簡単に解説

2025年4月13日

インハウスデータベースの意味をわかりやすく簡単に解説しています。「インハウスデータベース」とは？と検索している方は、ぜひこの記事を参考にしてください。

アプリケーションデリバリコントローラとは？意味をわかりやすく簡単に解説

2025年4月13日

アプリケーションデリバリコントローラの意味をわかりやすく簡単に解説しています。「アプリケーションデリバリコントローラ」とは？と検索している方は、ぜひこの記事を参考にしてください。

アプリケーションデリバリコントローラとは？意味をわかりやすく簡単に解説

2025年4月13日

アプリケーションデリバリコントローラの意味をわかりやすく簡単に解説しています。「アプリケーションデリバリコントローラ」とは？と検索している方は、ぜひこの記事を参考にしてください。

アプライアンスサーバとは？意味をわかりやすく簡単に解説

2025年4月13日

アプライアンスサーバの意味をわかりやすく簡単に解説しています。「アプライアンスサーバ」とは？と検索している方は、ぜひこの記事を参考にしてください。

アプライアンスサーバとは？意味をわかりやすく簡単に解説

2025年4月13日

アプライアンスサーバの意味をわかりやすく簡単に解説しています。「アプライアンスサーバ」とは？と検索している方は、ぜひこの記事を参考にしてください。

アドレスとは？意味をわかりやすく簡単に解説

2025年4月13日

アドレスの意味をわかりやすく簡単に解説しています。「アドレス」とは？と検索している方は、ぜひこの記事を参考にしてください。

アドレスとは？意味をわかりやすく簡単に解説

2025年4月13日

アドレスの意味をわかりやすく簡単に解説しています。「アドレス」とは？と検索している方は、ぜひこの記事を参考にしてください。

アドウェアとは？意味をわかりやすく簡単に解説

2025年4月13日

アドウェアの意味をわかりやすく簡単に解説しています。「アドウェア」とは？と検索している方は、ぜひこの記事を参考にしてください。

アドウェアとは？意味をわかりやすく簡単に解説

2025年4月13日

アドウェアの意味をわかりやすく簡単に解説しています。「アドウェア」とは？と検索している方は、ぜひこの記事を参考にしてください。

【CVE-2025-3297】SourceCodester Online Eyewear Sh...

2025年4月12日

SourceCodester Online Eyewear Shop 1.0のMaster.phpファイルにおいて、brandパラメータを介したクロスサイトスクリプティング脆弱性が発見された。CVE-2025-3297として識別されるこの脆弱性は、リモートからの攻撃が可能で既に公開されている。CVSSスコアは最大で5.1（MEDIUM）と評価され、他のパラメータへの影響も懸念されている。早急なセキュリティ対策の実施が推奨される。

【CVE-2025-3297】SourceCodester Online Eyewear Sh...

2025年4月12日

SourceCodester Online Eyewear Shop 1.0のMaster.phpファイルにおいて、brandパラメータを介したクロスサイトスクリプティング脆弱性が発見された。CVE-2025-3297として識別されるこの脆弱性は、リモートからの攻撃が可能で既に公開されている。CVSSスコアは最大で5.1（MEDIUM）と評価され、他のパラメータへの影響も懸念されている。早急なセキュリティ対策の実施が推奨される。

アウトオブバンド管理とは？意味をわかりやすく簡単に解説

2025年4月11日

アウトオブバンド管理の意味をわかりやすく簡単に解説しています。「アウトオブバンド管理」とは？と検索している方は、ぜひこの記事を参考にしてください。

アウトオブバンド管理とは？意味をわかりやすく簡単に解説

2025年4月11日

アウトオブバンド管理の意味をわかりやすく簡単に解説しています。「アウトオブバンド管理」とは？と検索している方は、ぜひこの記事を参考にしてください。

CrowdStrike、Falcon Exposure Managementを強化、AI駆動の...

2025年4月10日

CrowdStrikeは、CrowdStrike Falcon® Exposure ManagementにAIを活用したネットワーク脆弱性評価機能を新たに追加したことを発表した。この新機能は、ルーターやスイッチなどのネットワーク機器の脆弱性をリアルタイムで特定し、AIによるリスク優先順位付けを行うことで、セキュリティチームが真に重要なリスクに集中できるよう支援するものである。追加のスキャナやエージェント、ハードウェアを不要とし、Falconプラットフォームのシングルエージェントアーキテクチャを通じてセキュリティ運用の一元化と統合を加速させる。既存のFalcon Exposure Management顧客は資産の最大10%を無料でスキャン可能だ。

CrowdStrike、Falcon Exposure Managementを強化、AI駆動の...

2025年4月10日

CrowdStrikeは、CrowdStrike Falcon® Exposure ManagementにAIを活用したネットワーク脆弱性評価機能を新たに追加したことを発表した。この新機能は、ルーターやスイッチなどのネットワーク機器の脆弱性をリアルタイムで特定し、AIによるリスク優先順位付けを行うことで、セキュリティチームが真に重要なリスクに集中できるよう支援するものである。追加のスキャナやエージェント、ハードウェアを不要とし、Falconプラットフォームのシングルエージェントアーキテクチャを通じてセキュリティ運用の一元化と統合を加速させる。既存のFalcon Exposure Management顧客は資産の最大10%を無料でスキャン可能だ。

オプテージなど3社がQKDとPQCを組み合わせた量子セキュア通信の実証実験に成功、高い安全性と可用性を実現